处罚案例 | 未采取必要的安全防护，导致大量敏感数据被窃，郑州两家公司被处罚

经调查核实，郑州市某互联网信息服务有限公司在数据库中配置增加了远程登录空口令账户，导致黑客利用该空口令账户成功登录数据库，并窃取了数据库中的数据，被窃取的数据包含姓名、身份证号、手机号、邮箱地址等敏感信息。该公司在网络安全意识方面淡薄，未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，造成部分敏感数据泄露。

针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该互联网信息服务公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

经调查核实，郑州市某科技有限公司缺乏网络安全意识，没有正确配置数据库，导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库，查看、下载数据，导致敏感数据泄露。该公司系统访问日志功能未开启、重要的通联日志留存不足六个月，数据库系统配置不当，存在未授权访问漏洞，在网络安全管理方面存在缺失，未能按照《数据安全法》要求对企业重要数据进行分级分类管理，系统日志存储时未对用户个人敏感信息进行脱敏处理，存在安全风险。

针对以上违法情况，郑州市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币5万元罚款的行政处罚。

郑州市网信办相关负责人强调，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。开展数据处理活动的企业和个人，应当依法完善相关制度，采取相应措施，保障数据安全。发现数据安全缺陷、漏洞等风险事件时，企业应当立即采取补救措施，并按照规定及时向网信部门报告。

下一步，郑州市网信办将切实贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求，持续加强网络安全、数据安全和个人信息保护工作，督促企业切实履行好主体责任。郑州市网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

法律链接

《中华人民共和国数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

《中华人民共和国数据安全法》第四十五条规定：开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。